浅谈企业网络行为管理的必要性与方法

郝全明 郝廷龙 刘仲厅

[摘 要] 文章介绍了现代企业网络的安全问题、带宽资源问题、网络行为问题等，并提出从合理规划IP地址、划分VLAN、防火墙与入侵检测联动、核心交换机TCP/IP拦截、建立网络防病毒体系、实施上网行为管理、强化网络制度建设等方面进行网络安全防护与管理的基本思路和方法。

[关键词] 企业网络网路安全上网行为管理方法

在高速发展的网络信息时代，网络已经成为现代企业员工的有效利用工具，不仅拉近了世界的距离，还为企业获取和交互信息提供便利，但它像一把双刃剑，在带给企业种种便利的同时，也向企业网络管理者提出了更多的挑战。

1.信息网络给企业带来的问题

1.1 网络安全问题。

一个企业的网络是否安全是企业内部用户计算机能否正常工作，乃至企业网络能否正常运行的关键。据国际权威机构统计，网路安全事件中40%以上是由互联网活动引起的。互联网络上的病毒随处可见，尤其是一些非法网站所携带的更多。四通八达的网络方便的不仅仅正常信息的获取和交流。恶意代码，比如病毒、蠕虫、间谍软件等等，也在搭乘着便车，即由网页、Email、聊天工具、下载工具等方式，入侵到网络的每个角落，影响终端计算机的运行。

1.2 带宽资源问题

目前国内多数企亊业单位网络出口带宽不超10M，有的甚至更窄。很多员工一打开电脑就会自觉地开始各种下载工作，包括BT、电骡、迅雷这些网络资源的“吞噬者”，这些员工在大量下载电影和软件的同时在不停地抱怨网速太慢！据中国社会科学研究院最新的统计调查表明，70%的互联网宽带资源被音乐、电影下载占用着。从企业的全局考虑，应该尽可能避免这种情况的发生，当某些员工正在用下载工具下载网上与工作无关内容时，那么其他员工的正常工作将受到影响。

1.3 网络行为问题

据中国权威机构调查表明，企业员工平均每天的互联网活动中有近40%的时间是在用来在线聊天，浏览新闻娱乐、股票行情、色情网站，或处理个人事务，仅有少部分用于工作和学习。过去，一些员工通过同事间闲聊来打发上班时间。随着计算机和互联网普及，员工有了更多的选择，网上购物、好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在网络论坛上舞文弄墨等等。据有关调查机构调查显示：在办公室中，和其他国家相比，中国员工每周多花7.6小时来使用即时通讯、玩游戏、在线媒体；中国员工上网下载音乐的时间比拉美高16%；上网进入聊天室和玩在线游戏两方面花费的时间分别比其他国家高约8%和12%；60%员工在工作场所浏览个人信件。部分员工沉迷在互联网带来的诱惑之中，进而不能专心投入工作，这势必会给企业的经营效益造成影响，使企业的文化偏离方向。

1.4 内部信息安全问题

网络世界充斥着各种各样的信息，正如打开窗口，进来的不止是新鲜空气。我们在获取有用信息的同时，也被各种不良内容侵蚀着。同时，联通的互联网络也会把一些保密信息泄露出去。任何企业都担心自己内部机密信息泄露出去，而互联网偏偏又提供了方便的信息交流和传递环境。通过web电子邮件或QQ等即时通信工具，任何文件都可以方便地通过互联网发送到企业外部。企业核心资源的未授权传播令管理者痛心疾首，也就是我们经常提到的员工泄密行为，这在国内已有众多先例。由于互联网行为复杂且难以预料，无论是存心还是意外，一个居心叵测的员工和一个忠实可靠的干将都有可能将局域网内的重要资料泄露给第三方组织甚至竞争对手。作为企业的领导者绝不希望员工因为上网行为而给公司带来名誉损失与法律责任，也绝不赞同企业的商业机密被泄漏。

2.企业进行网络管理的必要性

以上四个问题是每个现代化企业所面临的切实难题。分析可以得知，企业内员工的网络行为直接关系到企业的网络能否正常运转；企业的网络是否具有足够带宽保证通信畅通；员工能否专心于岗位职责，及时完成工作；企业的名誉和商业机密。而我们的企业要想积极健康、稳步发展就必须加强网络技术防护的同时，规范企业人员的上网行为。

企业网络覆盖的地域面积大；运行的应用繁杂；有极高的网络可用性需求；有很高的软硬件的资产管理需求，有很高的终端管理需求等。正是由于企业网络的这些特点，加强网络管理，提高管理手段，构建立体的安全架构是非常必要的。通过合理的网络设备形成一套行之有效的安全管理办法是企业网络管理人员的价值所在。

3.企业进行网络管理的方法

3.1合理规划IP地址、划分VLAN，保证网络的高性能

从广播控制角度出发，为了保障网络的高可用和高性能，在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过50台。对于主机数量超过50台的业务部门，我们通过二层隔离，三层交换的方式来解决。在实际网络运行中，这种规划使网络攻击者实施攻击的难度增加，而网络管理中由于终端的范围细化，而可采取的手段增多。

3.2防火墙与入侵检测的联动，配合核心交换机的TCP/IP拦截

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。硬件防火墙是企业网络的标准出口设备，提供了指定和执行网络安全策略手段。例如保护脆弱的服务；控制对系统的访问；增强的保密性；记录和统计网络利用数据和非法利用数据等。未设置防火墙时，网络安全取决于每台主机的用户，现在防火墙可以建立集中访问控制点。为各种安全管理手段提供支持。

在网络系统的整体安全中，入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

3.3建立一套网络防病毒体系。

现在新病毒层出不穷，每天都会产生20至30种新病毒，比以前增加3倍以上。我国目前的病毒疫情呈现出两种趋势，一种趋势是国外流行的网络化病毒大肆侵袭我国的计算机网络，另一种趋势是出现大量本土病毒，并且传播能力和破坏性越来越强。企业在电子商务和金融电子化的不断发展的环境下，网络及其应用系统已成为企业日常经营管理的基础平台。企业管理系统具有多平台、多应用的特点，所以建立一个有效的、可管理的企业整体防病毒体系满足了这一需要 。

3.4实施带宽管理和上网行为管理相结合的模式对企业互联网用户进行管理。

通过策略与日志，管理者可以跟踪网络中的任何操作。对用户上网行为操作做出规范管理，减少内部泄密行为与病毒传播隔离。如何令有限的带宽合理分配使用，需要上网行为管理提供精细网络流量管理功能。可根据主机(单 IP、IP 组、用户组)、服务(服务组)、应用程序、时间、URL、文件类型等不同参数，提供灵活组合来实现带宽的预留、保障和限制。通过技术上的设置去限制部分或全部上网人员的网络访问权限，将一些非法网站、与工作无关的网络内容屏蔽掉，进而达到规范网络行为的目得。

3.5 强化网络制度建设、营造良好的企业文化

在强化物理技术防护企业网络安全和员工行为的同时，还需加强企业网络管理的制度建设，应制定严格的上网行为管理办法，通过制度去约束员工在互联网上的行为。要在企业中要营造良好的网络文化氛围，使员工自觉良好地应用网络为工作服务。要提高全体员工的个人素质和敬业精神，使员工自觉维护企业的名誉和利益。此外要培养员工的网络安全意识与网络安全防护能力。

4.结论

企业网络虽然面临众多安全威胁、员工网络不良行为等影响，但通过必要的技术和管理手段，是能够构建一个安全可靠、运行良好的网络环境的，为企业的快速发展提供信息化服务。

参考文献：

[1] 陈华.企业网建中VLAN技术的应用[J].化工职业技术教育，2008，（04）.

[2] 王迪.防火墙技术及攻击方法分析[J].湖南民族职业学院学报，2007，（04）.